СПО в российских школах

Команда ALT Linux рассказывает о внедрении свободного программного обеспечения в школах России
Июль 5, 2011

Контентная фильтрация в школе (Часть 2)

Методические материалы
Автор: Владимир Черный

Продолжение статьи Дмитрия Коновалова «Контентная фильтрация в школе (Часть 1)».

Контентная фильтрация в школе (Часть 2)

После того как мы определились с программным обеспечением для организации контентной фильтрации и принципом организации локальной сети («Контентная фильтрация в школе (Часть 1)»), перейдем к более детальному рассмотрению организации школьной образовательной сети с контролируемым доступом в сеть Интернет.

Одной из основных проблем на данном этапе является конфигурирование самого сервера, выбор параметров. На самом деле, для обслуживания сравнительно небольшой сети (10-15 компьютеров), вполне подойдет обыкновенный школьный ПК с параметрами: процессор от 233 МГц, от 128 Мб ОЗУ.

Единственное условие для нашей конфигурации — это наличие 2-х сетевых интерфейсов. Первый предназначен для установления соединения с сетью Интернет, второй — для работы с локальной сетью школы.

Локальная сеть и Интернет

Соответственно первому сетевому интерфейсу присваиваются настройки, полученные образовательным учреждением от провайдера. Второму — параметры локальной сети образовательного учреждения. При такой организации между локальной сетью и сетью Интернет будет стоять система, контролирующая весь входящий и исходящий трафик1.

Сетевые интерфейсы настраиваются при установке дистрибутива (рекомендуемый вариант). Либо после установки, например при помощи центра управления системой (https://ip сервера:8080 ).

Настройка сетевого интерфейса
(Настройка сетевого интерфейса для работы в сети Интернет)

Настройка сетевого интерфейса
(Настройка сетевого интерфейса для работы в локальной сети образовательного учреждения)

После настройки сетевых интересов необходимо проверить имеет ли сервер доступ в сеть Интернет и локальную сеть образовательного учреждения. Для этого можно воспользоваться командой ping:

ping

Следующая задача — определиться в каком режиме будет работать сервер: роутер или шлюз.

  • Роутер. В этом режиме перенаправление пакетов между сетевыми интерфейсами происходит без трансляции сетевых адресов.
  • Шлюз. В этом режиме будет настроена трансляция сетевых адресов (NAT) при перенаправлении пакетов на внешние интерфейсы. Использование этого режима имеет смысл, если у вас настроен по крайней мере один внешний и один внутренний интерфейс.

В режиме шлюза клиенты смогут беспрепятственно выходить в сеть Интернет, достаточно прописать соответствующие сетевые настройки. Поэтому такой вариант нас не устраивает, так как наша задача выпускать только тех пользователей, которым мы разрешим и только по установленным нами правилам2.

Поэтому настраиваем работу сервера в режиме роутер (Брандмауэр -> Внешние сети):

Роутер
В этом же разделе мы можем указать и внешние сети, и закрыть доступ к тем портам, по которым доступ к нашему серверу нежелателен.

Теперь приступим к настройке программы при помощи которой будем контролировать доступ в сеть Интернет пользователей сети. Это программный пакет squid (Серверы -> Прокси-сервер):

Прокси-сервер

Инструкция по настройке прокси-сервера

Продолжение следует…

Оригинал статьи Д. Коновалова.

————————
1 Предполагается следующая конфигурация сети:

  1. Сетевая сервера, обслуживающая локальную сеть втыкается в хаб (сетевая карта 2 на рисунке),
  2. Кабель, раздающий Интернет втыкается в сервер (внешняя сеть, сетевая карта 1 на рисунке),
  3. клиенты соединяются с хабом, а их роут настроен на сервер (на IP локальной карточки сервера),
  4. Сервер раздает локальные сетевые адреса по dhcp.

(Примечание редактора)
2 Если быть более точным, то в режиме роутера результат не известен. А регулировка доступа в интернет осуществляется настройкой правил iptables. (Примечание редактора)

Комментарии (4) к “Контентная фильтрация в школе (Часть 2)”

  1. Д.Авдеев говорит:
    Июль 5, 2011, 7:34 пп

    Кроме технических проблем есть ещё юридические:
    Какие именно ресурсы должны быть точно заблокированы и на каком основании?
    Точно не должно быть вроде экстремистских материалов.Такой список всё время обновляется на сайте минюсте http://www.minjust.ru/ru/activity/nko/fedspisok/ и на текущий день там 896 материалов.Мест где могут располагаться эти материалы боюсь в Интернете несоизмеримо больше. Одного администратора в школе точно не хватит уследить за этим. И это только экстремистское направление!Кроме этого есть ещё куча других направлений не отвечающих образовательной и воспитательной деятельности!!!
    Поэтому считаю, что попытка настроить контент-фильтр по чёрному списку заведомо провальная.
    С белым списком тоже не всё гладко, если включить в него поисковые системы.В кеше поисковых систем и в первую очередь в поиске по картинкам просто гигантское количество материала не соответствующих образовательным целям.Поэтому , если оставлять в доступе поисковые системы, то поиск по картинкам отключать.Придётся чем-то жертвовать.
    Ещё одна беда школе(как впрочем и других организациях) это торрент… Бороться с ними мне кажется трудно(может я пока не нашёл рецепта как их приготовить),единственное до чего пока я дошёл -это закрыл все торрент трекеры и закрываю постоянно новые трекеры, которые попадаются в логах сквида.Речь о контент фильтрации в школах всё время поднимается, но цель мне кажется пока не достигнута.
    Если идти по белому списку, то проблема торрентов скорей всего и не возникнет. Специально не дожидаюсь окончания цикла статей по контент фильтрации публикую как мне кажется важные проблемы, чтобы автор мог в цикле статей их затронуть и эти проблемы и тогда возможно к учебному году мы все вместе найдём приемлемое решение!

  2. wecheslaw говорит:
    Июль 6, 2011, 5:56 пп

    Локальную сеть школы хорошо бы разбить на две подсети, фильтруемую и свободного доступа. Так как часто школа имеет только одно подключение к Интернету, а администрации школы и особенно бухгалтерии нужен прямой доступ к Интернету. Из за разных кривых программ навязываемых гос органами.
    Я включил режим ручной настройки брандмауэра и в таблицу nat/PREROUTING прописал строки типа -s 192.168.0.32/27 -p tcp -m tcp —dport 80 \ -j DNAT —to-destination 192.168.0.30:3128 Ну и соответствующей раздачей ip разделяю доступ. Только вот что то мне кажется это решение не правильным.

  3. Подскажите пожалуйста,где взять пользователя для аутентификации на ученических машинах.

  4. Владимир Черный говорит:
    Сентябрь 24, 2012, 5:02 пп

    Завести в разделе «Пользователи»

Оставьте комментарий